ES2726770T3 - Control of critical operations for security - Google Patents

Control of critical operations for security Download PDF

Info

Publication number
ES2726770T3
ES2726770T3 ES11703729T ES11703729T ES2726770T3 ES 2726770 T3 ES2726770 T3 ES 2726770T3 ES 11703729 T ES11703729 T ES 11703729T ES 11703729 T ES11703729 T ES 11703729T ES 2726770 T3 ES2726770 T3 ES 2726770T3
Authority
ES
Spain
Prior art keywords
switches
keywords
section
control
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11703729T
Other languages
Spanish (es)
Inventor
Simon Bennett
Nicholas Belcher
David Parker
Kevin Challis
David Watkins
Gary Watkins
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BAE Systems PLC
Original Assignee
BAE Systems PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from EP10250250A external-priority patent/EP2357540A1/en
Priority claimed from GBGB1002495.8A external-priority patent/GB201002495D0/en
Application filed by BAE Systems PLC filed Critical BAE Systems PLC
Application granted granted Critical
Publication of ES2726770T3 publication Critical patent/ES2726770T3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Un sistema que comprende: una sección operativa para llevar a cabo una operación crítica para la seguridad en respuesta a una orden de control recibida a través de un medio de transmisión desde una sección de control (24) alejada de la sección operativa (18), teniéndose la sección de control (24) para controlar la ejecución de la operación crítica para la seguridad, caracterizado por que la orden de control comprende una pluralidad de claves de desencriptación o palabras clave (52) generadas en una parte de generación de órdenes de control de integridad elevada (28) de la sección de mando (24), que se suministran únicamente en respuesta a una orden correcta de un operario, y la sección operativa (18) comprende una pluralidad de conmutadores de seguridad por clave de integridad elevada (40, 42) que operan de modo que comparen las palabras clave respectivas recibidas desde la sección de mando, o generadas por la sección operativa tras la recepción de las claves de desencriptación, a través del medio de transmisión (36, 38), efectuándose la ejecución de la operación crítica para la seguridad únicamente en el caso de una comparación correcta mediante los conmutadores de seguridad por clave (40, 42) de sus palabras clave respectivas.A system comprising: an operational section for carrying out a safety critical operation in response to a control order received through a transmission means from a control section (24) away from the operating section (18), having the control section (24) for controlling the execution of the critical operation for security, characterized in that the control order comprises a plurality of decryption keys or keywords (52) generated in a control order generation part of high integrity (28) of the control section (24), which are supplied only in response to a correct order from an operator, and the operating section (18) comprises a plurality of security switches by high integrity key (40 , 42) operating in a way that compares the respective keywords received from the command section, or generated by the operational section upon receipt of the keys of The encryption, through the transmission medium (36, 38), the execution of the critical operation for security being carried out only in the case of a correct comparison by means of the key security switches (40, 42) of their respective keywords.

Description

DESCRIPCIÓNDESCRIPTION

Control de operaciones críticas para la seguridadControl of critical operations for security

Esta invención se refiere a sistemas configurados para efectuar operaciones críticas para la seguridad, y a su control. Por “operación crítica para la seguridad” se entiende una operación que tendría o podría tener de manera previsible unas consecuencias físicas irreversibles. Un ejemplo sin carácter limitante es la liberación de una carga (p. ej., una bomba, un misil o un depósito auxiliar de combustible) desde una aeronave.This invention relates to systems configured to perform safety critical operations, and their control. “Critical safety operation” means an operation that would have or could foreseeably have irreversible physical consequences. An example without limitation is the release of a load (e.g., a pump, a missile or an auxiliary fuel tank) from an aircraft.

Aunque la invención es particularmente relevante para un sistema en un vehículo (mediante lo cual se entiende cualquier plataforma móvil, sobre el terreno o subterránea, sobre el agua o subacuática, en el aire o en el espacio) también puede encontrar aplicación en aparatos estacionarios, por ejemplo, un lanzador de misiles terrestre, una puerta de seguridad u otro aparato de control del acceso (siendo el cambio irreversible en este caso la violación de la seguridad implícita que permite el acceso), una planta de procesamiento, una planta de generación de potencia o la señalización ferroviaria.Although the invention is particularly relevant for a system in a vehicle (whereby any mobile platform, on the ground or underground, over water or underwater, in the air or in space) is also found to be applicable in stationary devices, for example, a ground missile launcher, a security gate or other access control device (the irreversible change in this case being the violation of implicit security that allows access), a processing plant, a power generation plant power or railway signaling.

La solicitud de patente de EE. UU. US 2008/0121097 expone un sistema de activación digital remota.U.S. Patent Application UU. US 2008/0121097 exposes a remote digital activation system.

En general, en los sistemas conocidos, únicamente se lleva a cabo una operación crítica para la seguridad si se recibe una orden verificada, y en ausencia de una orden verificada no se lleva a cabo la operación crítica para la seguridad. Dichos sistemas no requieren autocorrección de las señales de mando debido a que se requiere que el sistema mantenga su condición por defecto de “no operación” a menos que se reciba una orden verificada. Esto se contrapone a los “sistemas basados en la disponibilidad” donde no se permite una condición de “no operación”. Estos sistemas emplean de manera habitual una autocorrección de datos para garantizar la continuación de una operación cuando se requiera.In general, in known systems, only a critical operation for security is carried out if a verified order is received, and in the absence of a verified order, the critical operation for security is not carried out. Such systems do not require autocorrection of the control signals because the system is required to maintain its default "no operation" condition unless a verified order is received. This is in contrast to "availability based systems" where a "no operation" condition is not allowed. These systems routinely use a self-correction of data to ensure the continuation of an operation when required.

De manera convencional, los sistemas críticos para la seguridad alcanzan una integridad o disponibilidad elevadas duplicando (y a veces triplicando o incluso cuadruplicando) elementos de hardware y las vías de comunicación entre dichos elementos, y siendo necesario que las señales ejecutivas se suministren por medio de vías diferentes y concuerden entre sí, o al menos que la mayoría de dichas señales concuerden entre sí.Conventionally, security-critical systems achieve high integrity or availability by doubling (and sometimes tripling or even quadrupling) hardware elements and the communication paths between those elements, and it is necessary for executive signals to be supplied via means different and agree with each other, or at least that most of these signals agree with each other.

La presente invención proporciona un sistema que comprende: una sección operativa para llevar a cabo una operación crítica para la seguridad en respuesta a una orden de control recibida a través de un medio de transmisión desde una sección de mando alejada de la sección operativa, siendo la sección de mando para controlar la ejecución de la operación crítica para la seguridad, donde la orden de control comprende una pluralidad de claves de desencriptación o palabras claves generadas en una parte de generación de órdenes de control de integridad elevada de la sección de mando, que se suministran únicamente en respuesta a una orden de corrección de un operario, y donde la sección operativa comprende una pluralidad de conmutadores de seguridad por clave de integridad elevada que tienen por función comparar las palabras clave respectivas recibidas desde la sección de mando, o generadas por la sección operativa tras la recepción de las claves de desencriptación a través del medio de transmisión, efectuándose la ejecución de la operación crítica para la seguridad únicamente en el caso de una comparación correcta, mediante los conmutadores de seguridad por clave, de sus palabras clave respectivas.The present invention provides a system comprising: an operational section for performing a safety critical operation in response to a control order received through a transmission means from a remote control section of the operating section, the control section for controlling the execution of the security-critical operation, where the control order comprises a plurality of decryption keys or keywords generated in a part of generating high integrity control orders of the command section, which they are supplied only in response to an operator correction order, and where the operational section comprises a plurality of high integrity key security switches whose function is to compare the respective keywords received from the command section, or generated by the operational section upon receipt of the decryption keys through by means of the transmission means, the execution of the critical operation for security being carried out only in the case of a correct comparison, by means of the security switches by key, of their respective keywords.

Esta invención se basa en el reconocimiento de que, hasta ahora en lo que se refiere a dichas señales, no importa mediante cuantas vías se suministran las señales. Lo que es importante es que la señal ejecutiva se recibe y verifica de manera correcta. En la presente invención esto se puede hacer a través de una única vía de transmisión.This invention is based on the recognition that, so far in regard to said signals, it does not matter by how many ways the signals are supplied. What is important is that the executive signal is received and verified correctly. In the present invention this can be done through a single transmission path.

Por tanto, en un primer aspecto, la invención proporciona un sistema configurado de modo que efectúe el control de una operación crítica para la seguridad mediante el envío de una pluralidad de claves de desencriptación o palabras clave a través de un medio de transmisión. El medio de transmisión puede comprender un medio de transmisión de integridad baja.Therefore, in a first aspect, the invention provides a system configured so as to control a critical operation for security by sending a plurality of decryption keys or keywords through a transmission medium. The transmission medium may comprise a transmission medium of low integrity.

En particular, el medio de transmisión de integridad baja puede incluir una vía de transmisión individual o común. De ese modo, se puede reducir el número de canales de transmisión en el sistema (normalmente 2, 3 o 4) a uno para la mayor parte o toda su longitud. Esto puede hacer posible una reducción significativa en la complejidad y coste del sistema.In particular, the low integrity transmission medium may include an individual or common transmission path. In this way, the number of transmission channels in the system (usually 2, 3 or 4) can be reduced to one for most or all of its length. This can make possible a significant reduction in the complexity and cost of the system.

El sistema puede comprender una pluralidad de conmutadores, donde cada uno de ellos responde de manera selectiva a dichas palabras clave, requiriéndose el funcionamiento de al menos una mayoría de los conmutadores para efectuar dicho control.The system may comprise a plurality of switches, where each of them selectively responds to said keywords, requiring the operation of at least a majority of the switches to perform said control.

Los conmutadores se pueden disponer en serie, por ejemplo, con respecto a un suministro de alimentación eléctrica u otra señal ejecutiva para el funcionamiento de dicho sistema.The switches can be arranged in series, for example, with respect to a power supply or other executive signal for the operation of said system.

Puede haber medios para hacer que los conmutadores funcionen en una secuencia predeterminada. Por ejemplo, se puede suministrar una de dichas palabras clave a uno de dichos conmutadores a través de una puerta lógica a la cual se suministra una salida desde otro de dichos conmutadores. There may be means to make the switches work in a predetermined sequence. For example, one of said keywords can be supplied to one of said switches through a logic gate to which an output is supplied from another of said switches.

Se puede enviar una palabra clave a uno de dichos conmutadores a través de un bus de datos serie. Se puede utilizar el mismo bus de datos para todas las palabras clave.A keyword can be sent to one of said switches via a serial data bus. The same data bus can be used for all keywords.

El sistema se puede configurar de modo que proporcione una alimentación eléctrica local a uno de dichos conmutadores como parte de una señal de datos que contiene la palabra clave.The system can be configured to provide local power to one of these switches as part of a data signal that contains the keyword.

Cuando la orden de control comprende una pluralidad de claves de desencriptación generadas en una parte de generación de órdenes de control de integridad elevada de la sección de mando, que se suministran únicamente en respuesta a una orden correcta de un operario, la sección operativa puede comprender una unidad de almacenaje de integridad elevada para almacenar una pluralidad de palabras clave generadas únicamente tras la recepción de la claves de desencriptación recibidas desde la sección de mando a través del medio de transmisión y la pluralidad de conmutadores de seguridad por clave de integridad elevada operan comparando las palabras claves generadas, efectuándose la ejecución de la operación crítica para la seguridad únicamente en el caso de una comparación correcta mediante los conmutadores de seguridad por clave.When the control order comprises a plurality of decryption keys generated in a part of generating high integrity control orders of the command section, which are provided only in response to a correct order of an operator, the operational section may comprise a high integrity storage unit for storing a plurality of keywords generated only upon receipt of the decryption keys received from the control section through the transmission medium and the plurality of high integrity key security switches operate by comparing the generated keywords, performing the critical operation for security only in the case of a correct comparison using the key security switches.

Se puede preferir esta disposición si el ancho de banda del medio de transmisión es relativamente bajo, ya que las claves de desencriptación requieren menos ancho de banda para la transmisión. No obstante, la sección operativa debe tener entonces una sección de integridad elevada más para almacenar las palabras clave y por lo tanto se puede incurrir en costes de hardware adicionales.This arrangement may be preferred if the bandwidth of the transmission medium is relatively low, since decryption keys require less bandwidth for transmission. However, the operational section must then have one more high integrity section to store the keywords and therefore additional hardware costs may be incurred.

Cada conmutador se puede configurar de modo que responda a una de dichas palabras clave diferente.Each switch can be configured to respond to one of these different keywords.

Asimismo, la invención se puede aplicar en particular al control de operaciones críticas para la seguridad en aparatos ubicados de manera remota con respecto a una estación de control, por ejemplo, en un vehículo aéreo no tripulado (UAV) u otro vehículo. Por tanto, el sistema puede ser un sistema de gestión de cargas.Likewise, the invention can be applied in particular to the control of safety critical operations in devices located remotely with respect to a control station, for example, in an unmanned aerial vehicle (UAV) or other vehicle. Therefore, the system can be a load management system.

Por tanto, en otro aspecto, la invención proporciona un vehículo aéreo no tripulado que comprende: una sección operativa tal como se describe anteriormente.Therefore, in another aspect, the invention provides an unmanned aerial vehicle comprising: an operating section as described above.

En un aspecto adicional, esta proporciona un controlador para un aparato que funciona de manera remota configurado de modo que ejecute una operación crítica para la seguridad y que incluye un medio para transmitir al aparato a través de una única vía de transmisión una instrucción o autorización para dicha operación que comprende una pluralidad de palabras clave.In a further aspect, it provides a controller for a device that operates remotely configured so as to execute a safety-critical operation and that includes a means to transmit an instruction or authorization to the device through a single transmission path. said operation comprising a plurality of keywords.

Ahora se describirá la invención simplemente a modo de ejemplo haciendo referencia a los dibujos anexos, donde; la figura 1 muestra un sistema crítico para la seguridad convencional en un vehículo aéreo de combate no tripulado “(UCAV)”;The invention will now be described simply by way of example with reference to the accompanying drawings, where; Figure 1 shows a critical system for conventional safety in an unmanned aerial combat vehicle "(UCAV)";

la figura 2 muestra un sistema crítico para la seguridad de acuerdo con la invención en un UCAV;Figure 2 shows a safety critical system according to the invention in a UCAV;

la figura 3 muestra parte del sistema de la figura 2;Figure 3 shows part of the system of Figure 2;

las figuras 4 y 5 muestran la implementación de dos realizaciones de la invención utilizando la estructura de la figura 3;Figures 4 and 5 show the implementation of two embodiments of the invention using the structure of Figure 3;

la figura 6 muestra con más detalle parte de la estructura de la figura 4; yFigure 6 shows in more detail part of the structure of Figure 4; Y

la figura 7 muestra una modificación de la realización de la figura 5.Figure 7 shows a modification of the embodiment of Figure 5.

Haciendo referencia a la figura 1, un UCAV 10 convencional comprende, en lo que es pertinente a la presente, un receptor de radio 12 y un ordenador de misión 14, que hace funcionar una sección aérea 16 de un sistema de gestión de cargas (SMS). El SMS controla el funcionamiento y la liberación de una o más cargas (armas) 18 montadas en una unidad de soporte externa 20 del UCAV. En la siguiente descripción, la carga se supone que es un arma que se puede liberar, aunque podría ser de igual modo algún otro dispositivo que se puede liberar.Referring to Figure 1, a conventional UCAV 10 comprises, as relevant herein, a radio receiver 12 and a mission computer 14, which operates an aerial section 16 of a load management system (SMS ). The SMS controls the operation and release of one or more charges (weapons) 18 mounted on an external support unit 20 of the UCAV. In the following description, the load is supposed to be a weapon that can be released, although it could similarly be some other device that can be released.

El UCAV está controlado por un operario en una estación de tierra 24 que incluye un transmisor 26, y en particular una sección controladora de base terrestre 28 del SMS. La liberación no ordenada de cualquier carga por parte del UCAV sería un problema serio, y por consiguiente el control del SMS se efectúa mediante un sistema crítico para la seguridad en el que cada una de las unidades secundarias 12, 14, 16 y 20 contienen elementos funcionales duplicados, y cada una está conectada a las demás mediante vías de comunicación dúplex 30, que incluyen un enlace de radio de doble canal 32 entre el transmisor 12 y el receptor 26.The UCAV is controlled by an operator at a ground station 24 that includes a transmitter 26, and in particular a ground-based controller section 28 of the SMS. The unordered release of any load by the UCAV would be a serious problem, and therefore SMS control is carried out through a security-critical system in which each of the secondary units 12, 14, 16 and 20 contain elements functional duplicates, and each is connected to the others by means of duplex communication channels 30, which include a double channel radio link 32 between the transmitter 12 and the receiver 26.

Las vías de comunicación se consolidan en una vía individual únicamente en la interfaz entre el soporte 20 y la carga. En general, las aplicaciones del SMS requieren diversas salidas (algunas críticas para la seguridad) que se deben activar en una secuencia lógica para lograr una liberación del arma.The communication channels are consolidated in an individual way only at the interface between the support 20 and the load. In general, SMS applications require various outputs (some critical for security) that must be activated in a logical sequence to achieve a weapon release.

Una secuencia habitual de liberación de una carga es tal como sigue: A usual sequence of release of a charge is as follows:

• Fase de selección del arma• Weapon selection phase

o El ordenador de misión solicita al SMS que seleccione un arma. o The mission computer asks the SMS to select a weapon.

o El SMS aéreo selecciona el arma y devuelve la selección al ordenador de misión. o The air SMS selects the weapon and returns the selection to the mission computer.

o El SMS conmuta la alimentación eléctrica no crítica para la seguridad a la carga (en general implementado mediante el accionamiento de un relé o conmutador de alimentación eléctrica individual en la unidad de soporte). o The SMS switches the non-critical power supply for load safety (generally implemented by actuating an individual power relay or switch in the support unit).

o El arma lleva a cabo unas pruebas integradas. o The weapon carries out integrated tests.

• Fase de armado del arma• Gun assembly phase

o El operario de la estación terrestre envía una orden de “armado de arma”. o The operator of the ground station sends a “gun assembly” order.

o El SMS energiza los útiles de disparo (que siguen a las comprobaciones pertinentes de interbloqueo). o The SMS energizes the triggering tools (which follow the relevant interlock checks).

o El SMS energiza la alimentación eléctrica crítica para la seguridad a la carga (salida del SMS crítica para la seguridad, implementada en general mediante dos conmutadores de alimentación eléctrica superior/inferior “en serie”). o The SMS energizes the critical power supply for load safety (output of the security-critical SMS, implemented in general by means of two “serial” upper / lower power switches).

• Fase de liberación del arma• Weapon release phase

o El operario de la estación terrestre autoriza la liberación final y envía una orden de “liberación del arma”. o The ground station operator authorizes the final release and sends a “weapon release” order.

o El SMS energiza la aprobación de liberación (salida del SMS crítica para la seguridad, implementada en general mediante dos conmutadores de alimentación eléctrica superior/inferior “en serie”). o The SMS energizes the release approval (safety-critical SMS output, implemented in general through two “serial” upper / lower power switches).

o El SMS energiza la salida de “Disparo” a los equipos de suspensión y liberación (salida del SMS crítica para la seguridad, implementada en general mediante dos conmutadores de alimentación eléctrica superior/inferior “en serie”). o The SMS energizes the “Trip” output to the suspension and release equipment (safety critical SMS output, implemented in general by means of two “serial” upper / lower power switches).

Por tanto, durante el funcionamiento del sistema de la figura 1, se duplica una orden crítica para la seguridad y se envía a través de ambos canales 30, 32 desde el controlador del SMS 28. La orden se ejecuta si (y solo sí) se reciben adecuadamente ambas órdenes en un comparador 34 dentro del soporte 20. Con esta arquitectura, todo el sistema desde las entradas del operario de tierra hasta las salidas de los soportes a la carga 18 se deben desarrollar con los estándares de integridad de hardware y software más elevados, p. ej., DEF-STAN-00-55/56 nivel de integridad de seguridad 4 o equivalente, con todo lo que implica en complejidad y coste.Therefore, during the operation of the system of Figure 1, a critical order for security is duplicated and sent through both channels 30, 32 from the SMS controller 28. The order is executed if (and only yes) is properly receive both orders in a comparator 34 within the support 20. With this architecture, the entire system from the entrances of the ground operator to the outputs of the supports to the load 18 must be developed with the standards of hardware and software integrity plus elevated, p. eg, DEF-STAN-00-55 / 56 security integrity level 4 or equivalent, with all that implies in complexity and cost.

La figura 2 muestra un sistema de acuerdo con la invención que de manera similar se opone a una liberación no ordenada de la carga, pero que es mucho más simple que el sistema de la figura 1. Las partes ya descritas tienen los mismos números de referencia que en la figura 1.Figure 2 shows a system according to the invention that similarly opposes an unordered release of the load, but which is much simpler than the system of Figure 1. The parts already described have the same reference numbers than in figure 1.

En esta realización, la sección del SMS de base terrestre 28, la estación terrestre del UCAV 26, el receptor del UCAV 12, el ordenador de misión 14 y la sección aérea del SMS 16 se configuran y disponen de modo que se comuniquen entre sí únicamente a través de una vía de comunicación de integridad baja individual 36, 38. La unidad de soporte tiene dos conmutadores de seguridad por clave (KSS) 40, 42, cada uno de los cuales cambia a un estado activo (cerrado) cuando se indica con una palabra clave única respectiva.In this embodiment, the land-based SMS section 28, the land station of the UCAV 26, the receiver of the UCAV 12, the mission computer 14 and the air section of the SMS 16 are configured and arranged so that they communicate with each other only through an individual low integrity communication channel 36, 38. The support unit has two key security switches (KSS) 40, 42, each of which changes to an active (closed) state when indicated by a respective unique keyword.

Las salidas de los conmutadores 40, 42 se comparan en un comparador 34 como en la figura 1, y si estas concuerdan el comparador envía una orden crítica para la seguridad a la carga 18.The outputs of the switches 40, 42 are compared in a comparator 34 as in Figure 1, and if they match the comparator sends a critical order for safety to the load 18.

Las palabras clave se almacenan de manera segura en una parte de integridad elevada de la sección del SMS de base terrestre 28 y se generan solo para su transmisión en respuesta a órdenes de corrección procedimentales del operario de la estación terrestre. Los elementos de almacenamiento, selección, recuperación y liberación del SMS de base terrestre 28 se configuran con estándares críticos para la seguridad (de integridad elevada o SIL4), aunque el resto de este junto con los demás elementos del sistema, con la excepción de los módulos de conmutación 40, 42, solo es necesario que tengan una integridad más baja. La parte aérea del SMS 16 se muestra como que dispone de vías de comunicación independientes 30 para cada conmutador 40, 42, aunque es posible enviar las palabras clave a los conmutadores a través de un bus serie común. Esto es especialmente conveniente si hay más de dos conmutadores de seguridad por clave en la unidad de soporte. Por ejemplo, cada arma puede tener un conmutador de armado y un conmutador de liberación, y de hecho habrá probablemente más de un soporte. Por tanto, puede haber un número significativo de conmutadores de seguridad por clave en el SMS, cada uno con su propia contraseña única que se le comunica a través de un bus común. Las palabras clave para los conmutadores o las operaciones que no son críticas para la seguridad se pueden almacenar en el SMS aéreo 16 en lugar de en el SMS de base terrestre, lo que reduce de ese modo la cantidad de datos a enviar a través del canal de comunicaciones individual.The keywords are stored securely in a high integrity part of the land-based SMS section 28 and are generated only for transmission in response to procedural correction orders from the operator of the ground station. The storage, selection, recovery and release elements of the land-based SMS 28 are configured with safety-critical standards (high integrity or SIL4), although the rest of this together with the other system elements, with the exception of Switching modules 40, 42, it is only necessary that they have a lower integrity. The aerial part of the SMS 16 is shown as having independent communication paths 30 for each switch 40, 42, although it is possible to send the keywords to the switches via a common serial bus. This is especially convenient if there are more than two security switches per key in the support unit. For example, each weapon can have an arming switch and a release switch, and in fact there will probably be more than one support. Therefore, there can be a significant number of security switches per key in the SMS, each with its own unique password that is communicated through a common bus. Keywords for switches or operations that are not critical to security can be stored in air SMS 16 instead of in SMS land-based, thereby reducing the amount of data to be sent through the individual communications channel.

En esta realización, los requisitos de nivel de integridad del sistema serían los siguientes:In this embodiment, the system integrity level requirements would be the following:

Figure imgf000005_0001
Figure imgf000005_0001

En una realización alternativa, todas la palabras clave de las salidas del SMS críticas para la seguridad se mantienen en el SMS aéreo 16, así como también las palabras clave de las salidas no críticas para la seguridad. No obstante, las palabras clave de las salidas críticas para la seguridad se mantienen en forma encriptada. Únicamente las claves de desencriptación se mantienen en el SMS de base terrestre 28. Durante el funcionamiento, las claves de desencriptación de las operaciones críticas para la seguridad, tales como el armado y la liberación, se envían mediante el SMS de base terrestre 28, y las palabras clave se desencriptan en el SMS aéreo 16. A continuación estas se aplican a los conmutadores 40, 42 tal como ya se ha descrito. Obviamente, las claves de desencriptación se envían únicamente cuando lo ordena el operario de la estación terrestre, y por tanto hasta ese momento el SMS aéreo no tiene todos los datos necesarios para efectuar la liberación de la carga. Esta realización requiere que ciertos aspectos del SMS aéreo (p. ej., el control y la eliminación de la claves de desencriptación) tengan un nivel de integridad elevado, aunque tiene la ventaja de una menor transferencia de datos desde el SMS de base terrestre 28. En esta realización, los niveles de integridad requeridos son;In an alternative embodiment, all the keywords of the security-critical SMS outputs are maintained in the air SMS 16, as well as the keywords of the non-critical security outputs. However, the key words of critical security exits are kept in encrypted form. Only the decryption keys are kept in the land-based SMS 28. During operation, the decryption keys of security critical operations, such as arming and release, are sent via the land-based SMS 28, and the keywords are decrypted in the air SMS 16. These then apply to switches 40, 42 as already described. Obviously, decryption keys are sent only when ordered by the operator of the ground station, and therefore until that moment the air SMS does not have all the necessary data to effect the release of the cargo. This embodiment requires that certain aspects of the air SMS (e.g., control and elimination of decryption keys) have a high level of integrity, although it has the advantage of less data transfer from the land-based SMS 28 In this embodiment, the required levels of integrity are;

Figure imgf000005_0002
Figure imgf000005_0002

En ambas realizaciones, la reducción en el nivel de integridad de la mayoría del SMS, junto con el diseño de canal individual del sistema, puede ofrecer un ahorro de coste significativo en el diseño, desarrollo y posterior fabricación del sistema. No obstante, el concepto aún permite elaborar un procedimiento de seguridad razonado (que incluye la consideración de una “secuencia lógica” de acontecimientos para efectuar una liberación), para apoyar la eventual certificación del sistema.In both embodiments, the reduction in the level of integrity of most of the SMS, together with the individual channel design of the system, can offer significant cost savings in the design, development and subsequent manufacturing of the system. However, the concept still allows for the elaboration of a reasoned security procedure (which includes the consideration of a “logical sequence” of events to effect a release), to support the eventual certification of the system.

La figura 3 ilustra que se puede lograr la función del comparador 34 simplemente conectando los conmutadores 40, 42 en serie con respecto a una cantidad a controlar. En la presente, esa cantidad es un suministro de alimentación eléctrica de la red 44, que cuando los conmutadores 40, 42 están cerrados se suministra en 46 (p. ej., al mecanismo de liberación de la carga) como una salida del sistema crítica para la seguridad. También se ilustra el bus de datos serie común 48.Figure 3 illustrates that the function of comparator 34 can be achieved simply by connecting switches 40, 42 in series with respect to a quantity to be controlled. Here, that amount is a mains power supply 44, which when the switches 40, 42 are closed is supplied in 46 (e.g., to the mechanism load release) as an exit from the critical safety system. The common serial data bus 48 is also illustrated.

En la figura 4 se muestra una implementación de la realización de la figura 3. Las palabras clave de activación 50 enviadas por el SMS de base terrestre 28 se suministran al bus 48 y a continuación a los conmutadores 40, 42, cada una de las cuales está preprogramada (solo lectura) para responder a su palabra clave respectiva. Cada conmutador también tiene una palabra clave de desactivación preprogramada, a utilizar si se aborta la liberación del arma.An implementation of the embodiment of Figure 3 is shown in Figure 4. The activation keywords 50 sent by the land-based SMS 28 are supplied to bus 48 and then to switches 40, 42, each of which is preprogrammed (read only) to respond to your respective keyword. Each switch also has a preprogrammed deactivation keyword, to be used if the weapon release is aborted.

Cada interruptor 40, 42 tiene un procesador para la comparación de claves, que puede ser, por ejemplo, un microprocesador específico, un dispositivo lógico programable o un dispositivo de enmascaramiento fijo. La elección de dispositivo dependerá de la aplicación particular, especialmente del intervalo de temperatura operativa y de los requisitos de alimentación eléctrica. La preprogramación de las palabras clave de activación y desactivación se puede implementar mediante conmutadores mecánicos (p. ej., DIL), enlaces cableados, dispositivos de memoria internos o externos o dentro de un registro de datos o una memoria permanente del microprocesador.Each switch 40, 42 has a processor for key comparison, which can be, for example, a specific microprocessor, a programmable logic device or a fixed masking device. The choice of device will depend on the particular application, especially the operating temperature range and the power supply requirements. The preprogramming of the activation and deactivation keywords can be implemented by mechanical switches (e.g., DIL), wired links, internal or external memory devices or within a data register or permanent microprocessor memory.

El bus de datos 48 (que puede ser un bus de datos serie de propósito general, tal como un RS422 o un USB) se puede disponer de modo que proporcione un suministro de alimentación eléctrica local a los conmutadores como parte de la señal de datos que contiene las palabras clave. A continuación, si no se suministra ningún dato en serie a un conmutador particular, este no se activará y permanecerá en un estado seguro.The data bus 48 (which can be a general purpose serial data bus, such as an RS422 or a USB) can be arranged to provide a local power supply to the switches as part of the data signal that It contains the keywords. Then, if no serial data is supplied to a particular switch, it will not be activated and will remain in a safe state.

Como una característica de seguridad más, se puede emplear el aislamiento de la señal en las entradas del bus de datos para:As a further safety feature, signal isolation can be used at the data bus inputs to:

• Evitar un modo de fallo externo de un bus de datos serie que da como resultado un funcionamiento fortuito del conmutador.• Avoid an external failure mode of a serial data bus that results in accidental operation of the switch.

• Proporcionar un grado elevado de inmunidad frente al ruido electromagnético.• Provide a high degree of immunity against electromagnetic noise.

• Mantener un aislamiento eléctrico completo entre los buses de control.• Maintain complete electrical isolation between control buses.

Una ventaja de la realización de la figura 4 es que los conmutadores conectados al bus de datos común no es necesario que sean direccionables de manera individual, debido a que cada uno es accionado por una única palabra clave. No obstante, una desventaja es que los conmutadores no son intercambiables o sustituibles sin volver a programar el SMS de base terrestre 28, debido a que cada uno tiene su propio código. Esta desventaja se puede eliminar mediante la realización de la figura 5.An advantage of the embodiment of Figure 4 is that the switches connected to the common data bus do not need to be individually addressable, because each one is operated by a single keyword. However, a disadvantage is that the switches are not interchangeable or replaceable without reprogramming the land-based SMS 28, because each has its own code. This disadvantage can be eliminated by performing Figure 5.

En esta realización, cada interruptor 40, 42, etc., es direccionable de manera única. Si se debe accionar un conmutador, el SMS de base terrestre envía dos (o más) cadenas de datos digitales largas 52 respectivas como palabras clave, junto con la dirección del conmutador. El conmutador direccionado recibe las palabras clave y las compara. Si la comparación es válida, se activa el conmutador. A continuación se repite el procedimiento para los demás conmutadores, según se requiera. El funcionamiento secuencial correcto de los interruptores se puede incluir como un interbloqueo de seguridad más, por ejemplo, tal como se muestra en la figura 7, suministrando la señal de datos al segundo conmutador 42 y de manera similar a los conmutadores posteriores (si los hay) a través de una puerta AND 72 respectiva, a la cual se aplica también la salida del conmutador 40 anterior; esta característica también se puede incluir en las demás realizaciones.In this embodiment, each switch 40, 42, etc., is uniquely addressable. If a switch must be operated, the land-based SMS sends two (or more) respective long digital data strings 52 as keywords, along with the address of the switch. The addressed switch receives the keywords and compares them. If the comparison is valid, the switch is activated. The procedure is repeated below for the other switches, as required. Correct sequential operation of the switches can be included as one more safety interlock, for example, as shown in Figure 7, supplying the data signal to the second switch 42 and similarly to the subsequent switches (if any. ) through a respective AND 72 gate, to which the output of the previous switch 40 is also applied; This feature can also be included in the other embodiments.

Se apreciará que en la realización de la figura 5, no es necesario programar las palabras clave de accionamiento en los conmutadores, sino únicamente sus direcciones respectivas. Esto se puede lograr mediante un modelo de direccionamiento independiente, o se puede programar cada conmutador con una dirección. Se puede emplear encriptación, tal como en la realización de la figura 4, manteniéndose las contraseñas encriptadas de cada conmutador en el SMS aéreo.It will be appreciated that in the embodiment of Figure 5, it is not necessary to program the drive keywords on the switches, but only their respective addresses. This can be achieved by an independent addressing model, or each switch can be programmed with one address. Encryption can be used, as in the embodiment of Figure 4, keeping the encrypted passwords of each switch in the air SMS.

La figura 6 muestra uno de los conmutadores 40, 42 de la figura 4 con más detalle. En 54 se recibe una señal combinada de alimentación eléctrica y datos desde el bus 48. Preferentemente, la señal es una señal de activación diferencial, donde los datos codificados utilizan una codificación Manchester diferencial autosincronizada. Para la inicialización del conmutador, en primer lugar se proporciona la señal de reloj únicamente con datos inertes. En aplicaciones críticas para la seguridad, únicamente se habilita la señal de reloj una vez que los interbloqueos de seguridad pertinentes (p. ej., que el UAV está en vuelo y que está activado el suministro de disparo) se confirmen como presentes.Figure 6 shows one of the switches 40, 42 of Figure 4 in more detail. At 54 a combined power and data signal is received from bus 48. Preferably, the signal is a differential activation signal, where the encoded data uses a self-synchronized differential Manchester encoding. For the initialization of the switch, first the clock signal is provided only with inert data. In safety-critical applications, only the clock signal is enabled once the relevant safety interlocks (e.g., that the UAV is in flight and the trigger supply is activated) are confirmed as present.

La señal del bus de datos recibida 54 se lleva a través de un transformador de aislamiento 56 a una unidad de extracción de datos y suministro de alimentación eléctrica 58, donde se extrae la componente de datos de la señal de datos codificada. La señal de datos además se rectifica y regula de modo que proporcione un suministro de alimentación eléctrica local 60 a un elemento de conmutación 62, al que se suministran los datos extraídos 64 desde la unidad de extracción de datos 58. El elemento de conmutación 62 compara la palabra clave en los datos extraídos con su palabra clave programada con anterioridad, y si coinciden, el elemento de conmutación ordena a un conmutador de alimentación eléctrica 66 (p. ej., un transistor de alimentación eléctrica o un relé de estado sólido) que se cierre y que suministre una alimentación eléctrica de entrada de CC de la red 68 a una salida de alimentación eléctrica conmutada 70. Un enlace de información de retorno 74 confirma al elemento de conmutación 62 que se ha cerrado el conmutador de alimentación eléctrica.The signal from the received data bus 54 is carried through an isolation transformer 56 to a data extraction and power supply unit 58, where the data component of the encoded data signal is extracted. The data signal is further rectified and regulated so as to provide a local power supply 60 to a switching element 62, to which the extracted data 64 is supplied from the data extraction unit 58. The switching element 62 compares the keyword in the data extracted with its previously programmed keyword, and if they match, the switching element instructs a power supply switch 66 (e.g., a power supply transistor or a solid state relay) that shut down and supply a DC power supply from network 68 to a power outlet switching power 70. A return information link 74 confirms to switching element 62 that the power supply switch has been closed.

La topología de un conmutador de seguridad por clave para su utilización en la realización de la figura 5 es similar; el elemento de conmutación en ese caso se configura de modo que sea direccionable, y de modo que reciba y compare dos o más palabras clave en lugar de que compare una palabra clave recibida con una palabra clave programada con anterioridad en este.The topology of a key security switch for use in the embodiment of Figure 5 is similar; The switching element in that case is configured so that it is addressable, and so that it receives and compares two or more keywords instead of comparing a received keyword with a previously programmed keyword in it.

Asimismo, cada conmutador de seguridad por clave puede incluir características inteligentes, p. ej., un funcionamiento con período de activación programable por el usuario o de un solo disparo.Also, each key security switch can include intelligent features, e.g. eg, operation with a user-programmable activation period or a single shot.

En tareas de conmutación no críticas para la seguridad se puede utilizar un conmutador de seguridad por clave individual, en lugar de dos o más en una disposición en cascada o de votación.For non-critical security switching tasks, a single key security switch can be used, instead of two or more in a cascade or voting arrangement.

Aunque se prefiere un bus de datos común 48 por razones de simplicidad y coste, se puede emplear más de un bus para una mayor integridad y disponibilidad, donde cada uno da servicio a un conmutador individual o a un grupo de conmutadores.Although a common data bus 48 is preferred for reasons of simplicity and cost, more than one bus can be used for greater integrity and availability, where each serves a single switch or a group of switches.

La invención también incluye cualquier combinación de características expuestas en la presente, tanto si se reivindican o no de manera específica. The invention also includes any combination of features set forth herein, whether or not they are specifically claimed.

Claims (16)

REIVINDICACIONES 1. Un sistema que comprende: una sección operativa para llevar a cabo una operación crítica para la seguridad en respuesta a una orden de control recibida a través de un medio de transmisión desde una sección de control (24) alejada de la sección operativa (18), teniéndose la sección de control (24) para controlar la ejecución de la operación crítica para la seguridad,1. A system comprising: an operational section for performing a safety critical operation in response to a control order received through a transmission means from a control section (24) away from the operating section (18 ), having control section (24) to control the execution of the safety-critical operation, caracterizado por quecharacterized by that la orden de control comprende una pluralidad de claves de desencriptación o palabras clave (52) generadas en una parte de generación de órdenes de control de integridad elevada (28) de la sección de mando (24), que se suministran únicamente en respuesta a una orden correcta de un operario, y la sección operativa (18) comprende una pluralidad de conmutadores de seguridad por clave de integridad elevada (40, 42) que operan de modo que comparen las palabras clave respectivas recibidas desde la sección de mando, o generadas por la sección operativa tras la recepción de las claves de desencriptación, a través del medio de transmisión (36, 38), efectuándose la ejecución de la operación crítica para la seguridad únicamente en el caso de una comparación correcta mediante los conmutadores de seguridad por clave (40, 42) de sus palabras clave respectivas.The control order comprises a plurality of decryption keys or keywords (52) generated in a high integrity control order generation part (28) of the command section (24), which are provided only in response to a correct order of an operator, and the operative section (18) comprises a plurality of high integrity key security switches (40, 42) that operate so as to compare the respective keywords received from the command section, or generated by the operative section after the reception of the decryption keys, through the transmission medium (36, 38), the execution of the critical operation for security being carried out only in the case of a correct comparison by means of the key security switches ( 40, 42) of their respective keywords. 2. El sistema de la reivindicación 1, que comprende además el medio de transmisión (36, 38), donde el medio de transmisión comprende una vía de transmisión común para las claves de desencriptación o palabras clave.2. The system of claim 1, further comprising the transmission means (36, 38), wherein the transmission means comprises a common transmission path for decryption keys or keywords. 3. El sistema de la reivindicación 1 o la reivindicación 2, que comprende una pluralidad de conmutadores (40, 42), donde cada uno responde de manera selectiva a dichas palabras clave recibidas o generadas, requiriéndose el funcionamiento de al menos una mayoría de los conmutadores para efectuar dicho control.3. The system of claim 1 or claim 2, comprising a plurality of switches (40, 42), wherein each responds selectively to said received or generated keywords, requiring the operation of at least a majority of the switches to perform said control. 4. El sistema de la reivindicación 3, donde los conmutadores se disponen en serie con respecto a un suministro de alimentación eléctrica (44) u otra señal ejecutiva para el funcionamiento de dicho sistema.4. The system of claim 3, wherein the switches are arranged in series with respect to a power supply (44) or other executive signal for the operation of said system. 5. El sistema de la reivindicación 4, que comprende un medio (72) para hacer que los conmutadores funcionen en una secuencia predeterminada.5. The system of claim 4, comprising means (72) for causing the switches to function in a predetermined sequence. 6. El sistema de cualquiera de las reivindicaciones 3, 4 o 5, donde una de dichas palabras clave se envía a uno de dichos conmutadores a través de un bus de datos serie (48).The system of any one of claims 3, 4 or 5, wherein one of said keywords is sent to one of said switches through a serial data bus (48). 7. El sistema de cualquiera de las reivindicaciones anteriores, configurado para proporcionar una alimentación eléctrica local al conmutador (40, 42) desde una señal de datos que contiene la palabra clave.7. The system of any of the preceding claims, configured to provide local power to the switch (40, 42) from a data signal containing the keyword. 8. El sistema de la reivindicación 3 o de cualquier reivindicación que dependa de esta, donde cada conmutador (40, 42) se configura de modo que responda a una de dichas palabras clave (52) diferente.8. The system of claim 3 or any claim that depends on it, wherein each switch (40, 42) is configured to respond to one of said different keywords (52). 9. El sistema de la reivindicación 8, donde cada uno de dichos conmutadores (40, 42) es direccionable de manera individual.9. The system of claim 8, wherein each of said switches (40, 42) is individually addressable. 10. El sistema de cualquier reivindicación anterior, donde la orden de control comprende una pluralidad de claves de desencriptación, y la sección operativa comprende una unidad de almacenamiento de integridad elevada para almacenar una pluralidad de palabras clave (52), generadas únicamente tras la recepción de las claves de desencriptación recibidas desde la sección de mando (24) a través del medio de transmisión (36, 38), y la pluralidad de conmutadores de seguridad por clave de integridad elevada (40, 42) operan de modo que comparen las palabras clave generadas.10. The system of any preceding claim, wherein the control order comprises a plurality of decryption keys, and the operating section comprises a high integrity storage unit for storing a plurality of keywords (52), generated only upon receipt. of the decryption keys received from the control section (24) through the transmission medium (36, 38), and the plurality of high integrity key security switches (40, 42) operate so that they compare the words key generated. 11. El sistema de la reivindicación 10, donde la sección operativa (18) comprende un medio para desencriptar las palabras clave y suministrarlas a los conmutadores (40, 42).11. The system of claim 10, wherein the operative section (18) comprises means for decrypting the keywords and supplying them to the switches (40, 42). 12. El sistema de cualquier reivindicación anterior, que se configura de modo que se incorpore, al menos parcialmente, en un vehículo aéreo no tripulado o en otro vehículo.12. The system of any preceding claim, which is configured to be incorporated, at least partially, in an unmanned aerial vehicle or another vehicle. 13. El sistema de la reivindicación 12, que es un sistema de gestión de cargas.13. The system of claim 12, which is a load management system. 14. El sistema de cualquier reivindicación anterior, donde el medio de transmisión (36, 38) comprende un medio de transmisión de integridad baja.14. The system of any preceding claim, wherein the transmission medium (36, 38) comprises a transmission medium of low integrity. 15. El sistema de cualquier reivindicación anterior, donde la orden de control comprende una pluralidad de claves de desencriptación.15. The system of any preceding claim, wherein the control order comprises a plurality of decryption keys. 16. Un vehículo aéreo no tripulado que comprende el sistema de cualquier reivindicación anterior. 16. An unmanned aerial vehicle comprising the system of any preceding claim.
ES11703729T 2010-02-13 2011-02-14 Control of critical operations for security Active ES2726770T3 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10250250A EP2357540A1 (en) 2010-02-13 2010-02-13 Control of safety critical operations
GBGB1002495.8A GB201002495D0 (en) 2010-02-13 2010-02-13 Control of safety critical operations
PCT/GB2011/050272 WO2011098832A1 (en) 2010-02-13 2011-02-14 Control of safety critical operations

Publications (1)

Publication Number Publication Date
ES2726770T3 true ES2726770T3 (en) 2019-10-09

Family

ID=43859740

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11703729T Active ES2726770T3 (en) 2010-02-13 2011-02-14 Control of critical operations for security

Country Status (5)

Country Link
US (1) US9383740B2 (en)
EP (1) EP2534543B1 (en)
ES (1) ES2726770T3 (en)
TR (1) TR201906794T4 (en)
WO (1) WO2011098832A1 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2726770T3 (en) * 2010-02-13 2019-10-09 Bae Systems Plc Control of critical operations for security
FR3023636B1 (en) * 2014-07-08 2017-11-10 Sagem Defense Securite ARCHITECTURE FOR TELE-OPERATED SYSTEMS
CN105491025A (en) * 2015-11-25 2016-04-13 西安电子科技大学 Unmanned aerial vehicle access control method based on attribute authentication
CN105873031B (en) * 2016-04-08 2019-03-01 西安电子科技大学 Distributed UAV key agreement method based on trusted platform
CN106707123B (en) * 2017-01-03 2019-02-19 深圳供电局有限公司 Detection device is put in distribution overhead line office based on unmanned aerial vehicle flight platform
CN109062171B (en) * 2018-10-30 2020-05-26 深圳市翔农创新科技有限公司 Unmanned aerial vehicle plant protection operation control method, system, device and storage medium
CN111142439A (en) * 2019-12-30 2020-05-12 湖北航天技术研究院总体设计所 Fire indicating integrated control method and system based on cloud computing

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3030000C2 (en) 1980-08-08 1983-05-26 Standard Elektrik Lorenz Ag, 7000 Stuttgart Code converter for the safe conversion of digital data telegrams into control commands
US7006881B1 (en) * 1991-12-23 2006-02-28 Steven Hoffberg Media recording device with remote graphic user interface
DE10001395A1 (en) 2000-01-14 2001-08-02 Infineon Technologies Ag Coding method for coding actuator control commands and actuator control unit for controlling actuators
US7904219B1 (en) * 2000-07-25 2011-03-08 Htiip, Llc Peripheral access devices and sensors for use with vehicle telematics devices and systems
US6965816B2 (en) * 2001-10-01 2005-11-15 Kline & Walker, Llc PFN/TRAC system FAA upgrades for accountable remote and robotics control to stop the unauthorized use of aircraft and to improve equipment management and public safety in transportation
JP2003152692A (en) 2001-11-12 2003-05-23 Central Japan Railway Co Data processor
US8375838B2 (en) * 2001-12-14 2013-02-19 Irobot Corporation Remote digital firing system
DE102004029487B4 (en) 2004-06-18 2015-12-10 Airbus Defence and Space GmbH A weapon with a weapon bay arrangement and method for depositing a weapon located in a gun shaft of the aircraft
US7363129B1 (en) * 2007-01-05 2008-04-22 Moon Valley Software Apparatus, system and method that interfaces with an automobile engine control unit
DE102007032805A1 (en) 2007-07-10 2009-01-15 Siemens Ag Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process
IL199230A0 (en) * 2009-06-08 2011-07-31 Elta Systems Ltd Air vehicle
ES2726770T3 (en) * 2010-02-13 2019-10-09 Bae Systems Plc Control of critical operations for security

Also Published As

Publication number Publication date
US20120303145A1 (en) 2012-11-29
EP2534543A1 (en) 2012-12-19
US9383740B2 (en) 2016-07-05
TR201906794T4 (en) 2019-05-21
WO2011098832A1 (en) 2011-08-18
EP2534543B1 (en) 2019-04-10

Similar Documents

Publication Publication Date Title
ES2726770T3 (en) Control of critical operations for security
US6860206B1 (en) Remote digital firing system
US7559269B2 (en) Remote digital firing system
CN103227776B (en) Configuration method, configuration device, computer program product and control system
CN107770166B (en) Control right transfer control method and system and unmanned aerial vehicle
ES2626395T3 (en) Vehicle safety device
CN101350725A (en) Safety unit
CN105094082B (en) Method for performing communication between control devices
ES2902769T3 (en) Cryptographic activation procedure and system of a plurality of equipment
ES2869951T3 (en) Electronic locking system with multiple locking cylinders
ES2742128T3 (en) System and method implemented by computer for the authentication between machines of an apparatus
WO1992013312A1 (en) Mutual missile control system
US20080172744A1 (en) Methods and systems to assure data integrity in a secure data communications network
CN109977702B (en) FPGA equipment encryption authentication system based on DS2432 chip
ES2988246T3 (en) Wireless detonator system
CN105429759A (en) Key management method used for data encryption of airborne data recorder of unmanned aerial vehicle
EP3096259B1 (en) Security ram block with multiple partitions
WO2018063724A1 (en) Method and apparatus for sharing security metadata memory space
ES2844126T3 (en) Procedure to provide safe operation of subsystems within a safety critical system
CN110532814A (en) Data processing device and operating method therefor
US7687750B2 (en) Multi-party missile firing control system
ES2932261T3 (en) Closing system and procedure for closing a container
ES2786635T3 (en) Method of transmitting and verifying the validity of configuration data in an electronic system, associated electronic system and computer program product
Ormrod et al. Cyber-Worthiness and Cyber-Resilience to Secure Low Earth Orbit
CN103425913B (en) A kind of guided missile safety is credible emission control method